|
 |
|
Skype skype4com URI-Handler Pufferüberlauf
|
|
|
|
|
Secunia Advisory:
|
SA27934
|
|
|
Herausgegeben:
|
2007-12-07
|
|
Last Update:
|
2008-02-01
|
|
|
Gefahrenstufe:
|
Sehr kritisch
|
|
Auswirkung:
|
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Skype for Windows 3.x
|
| | CVE reference: | CVE-2007-5989 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Eine Sicherheitslücke wurde in Skype gemeldet, die böswillige Personen ausnutzen können, um das System eines Benutzers zu kompromittieren.
Die Sicherheitslücke wird durch einen Begrenzungsfehler in Skype4COM.dll innerhalb des URI-Handler für "skype4com" verursacht, wenn kurze Zeichenketten verarbeitet werden. Dieser kann ausgenutzt werden, um einen begrenzten, Heap-basierten Pufferüberlauf zu verursachen, da eine längere Zeichenkette in den Heap-basierten Puffer kopiert werden könnte, der zuvor basierend auf der Länge des übergebenen URI bemessen wurde.
Eine erfolgreiche Ausnutzung könnte die Ausführung von beliebigem Code erlauben, falls ein Benutzer z.B. eine bösartige Website besucht.
Die Sicherheitslücken wurde in Skype 3.5.0.239 bestätigt. Andere Versionen vor 3.6.0.216 können ebenfalls betroffen sein.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Aktualisieren Sie auf Version 3.6.0.216 oder höher.
Gemeldet und/oder entdeckt von:
Von einer anonymen Person durch die ZDI gemeldet.
Änderungen:
2007-12-07: Weitere Informationen von Secunia Research hinzugefügt.
2008-02-01: Link zur Advisory des Herstellers hinzugefügt.
Original Advisory:
Skype (SKYPE-SB/2007-003):
http://www.skype.com/security/skype-sb-2007-002.html
ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-07-070.html
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
2 Related Secunia Security Advisories
|
|
|
1. Skype File-URI Ausführung von Code
|
|
2. Skype Cross-Zone-Scripting Sicherheitsverbesserung
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
